Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta orientação destina-se a administradores de TI ou analistas de segurança responsáveis pela configuração de ambientes de trabalho empresariais com o objetivo de distribuir software em várias máquinas e manter um nível consistente de configurações de segurança nessas máquinas de trabalho.
Muitas empresas usam o Microsoft Intune e o Microsoft Defender para gerenciar essas configurações de segurança. No entanto, configurar o WSL e acessar distribuições Linux neste contexto requer alguma configuração específica. Este guia fornece o que você precisa saber para habilitar o uso seguro do Linux com WSL em um ambiente corporativo.
Configuração empresarial recomendada com o Microsoft Defender para endpoint, Intune e controles avançados de rede
Há várias maneiras de configurar um ambiente empresarial seguro, mas recomendamos o seguinte para configurar um ambiente seguro que utilize o WSL.
Pré-requisitos
Para começar, certifique-se de que todos os dispositivos empresariais têm as seguintes versões mínimas instaladas:
- Windows 10 22H2 ou superior, ou Windows 11 22H2 ou superior
- As funcionalidades avançadas de rede só estão disponíveis no Windows 11 22H2 ou superior.
-
WSL versão 2.0.9 ou superior
- Você pode verificar a versão da WSL executando
wsl --version.
- Você pode verificar a versão da WSL executando
Habilitar a integração do Microsoft Defender for Endpoint (MDE)
O Microsoft Defender for Endpoint é uma plataforma de segurança de endpoint empresarial projetada para ajudar as redes corporativas a prevenir, detetar, investigar e responder a ameaças avançadas. O MDE agora se integra ao WSL como um plug-in WSL, que permite que as equipes de segurança vejam e monitorem continuamente eventos de segurança em todas as distribuições WSL em execução com o Defender for Endpoint, ao mesmo tempo em que afetam minimamente o desempenho nas cargas de trabalho do desenvolvedor.
Consulte Microsoft Defender for Endpoint plug-in for WSL para saber mais sobre como começar.
Definir definições recomendadas com o Intune
O Microsoft Intune é uma solução de gerenciamento de pontos finais baseada em nuvem. Ele gerencia o acesso do usuário aos recursos organizacionais e simplifica o gerenciamento de aplicativos e dispositivos em seus muitos dispositivos, incluindo dispositivos móveis, computadores desktop e pontos de extremidade virtuais. Você pode usar o Microsoft Intune para gerenciar dispositivos dentro da sua organização, que agora também inclui o gerenciamento do acesso ao WSL e suas principais configurações de segurança.
Consulte Configurações do Intune para WSL para obter orientação sobre como usar o Intune para gerenciar WSL como um componente do Windows e as configurações recomendadas.
Use recursos e controles avançados de rede
A partir do Windows 11 22H2 e WSL 2.0.9 ou posterior, as regras de firewall do Windows serão aplicadas automaticamente ao WSL. Isso garante que as regras de firewall definidas no host Windows serão aplicadas automaticamente a todas as distribuições WSL por padrão. Para obter orientação sobre como personalizar as configurações de firewall para WSL, visite Configurar firewall Hyper-V.
Além disso, recomendamos definir as [wsl2] configurações no .wslconfig arquivo para se adequar ao seu cenário Enterprise específico.
Rede em modo espelhado
networkingMode=mirrored Permite a rede em modo espelhado. Este novo modo de rede melhora a compatibilidade com ambientes de rede complexos, especialmente VPNs e muito mais, além de adicionar suporte para novos recursos de rede indisponíveis no modo NAT padrão, como IPv6.
Túnel DNS
dnsTunneling=true altera a forma como a WSL obtém informações de DNS. Essa configuração melhora a compatibilidade em diferentes ambientes de rede e usa recursos de virtualização para obter informações de DNS em vez de um pacote de rede. Recomenda-se ativá-lo se tiver algum problema de conectividade e pode ser especialmente útil ao usar VPNs, configurações avançadas de firewall e muito mais.
Proxy automático
autoProxy=true impõe o WSL para usar as informações de proxy HTTP do Windows. Recomendamos ativar essa configuração ao usar um proxy no Windows, pois isso fará com que esse proxy se aplique automaticamente às suas distribuições WSL.
Criando uma imagem WSL personalizada
O que é comumente referido como uma "imagem", é simplesmente um instantâneo do seu software e seus componentes salvos em um arquivo. No caso do Subsistema Windows para Linux, sua imagem consistiria no subsistema, suas distribuições e qualquer software e pacotes instalados na distribuição.
Para começar a criar sua imagem WSL, primeiro instale o Subsistema Windows para Linux.
Uma vez instalado, use a Microsoft Store para baixar e instalar a distribuição Linux certa para você.
Exportando sua imagem WSL
Exporte sua imagem WSL personalizada executando wsl --export <Distro> <FileName> [Options], o que envolverá sua imagem em um arquivo tar e a deixará pronta para distribuição em outras máquinas. Você pode criar distribuições personalizadas, incluindo CentOS, RedHat e muito mais, usando o guia de distribuição personalizado.
Distribuindo sua imagem WSL
Distribua a imagem WSL de um dispositivo de compartilhamento ou armazenamento executando wsl --import <Distro> <InstallLocation> <FileName> [Options], que importará o arquivo tar especificado como uma nova distribuição.
Atualizar e corrigir distribuições e pacotes Linux
O uso de ferramentas do gerenciador de configurações do Linux é altamente recomendado para monitorar e gerenciar o espaço do usuário do Linux. Há uma série de gerenciadores de configuração Linux para escolher. Veja esta postagem no blog sobre como executar o Puppet rapidamente no WSL 2.
Acesso ao sistema de arquivos do Windows
Quando um binário Linux dentro do WSL acessa um arquivo do Windows, ele o faz com as permissões de usuário do usuário do Windows que executou wsl.exeo . Portanto, mesmo que um usuário do Linux tenha acesso root dentro do WSL, ele não pode fazer operações de nível de administrador do Windows no Windows se o usuário do Windows não tiver essa permissão. Com relação ao arquivo do Windows e ao acesso executável do Windows a partir do WSL, a execução de um shell like bash tem as mesmas permissões de nível de segurança que a execução powershell do Windows que esse usuário.
Suportado
- Partilhar internamente uma imagem aprovada utilizando
wsl --importewsl --export - Criando sua própria distro WSL para sua empresa usando o repositório WSL Distro Launcher
- Monitorar eventos de segurança dentro de distros WSL usando o Microsoft Defender for Endpoint (MDE)
- Usar configurações de firewall para controlar a rede no WSL (Inclui a sincronização das configurações do firewall do Windows com o WSL)
- Controle o acesso à WSL e suas principais configurações de segurança com o Intune ou a política de grupo
Aqui está uma lista de recursos para os quais ainda não temos suporte, mas estamos investigando.
Atualmente sem suporte
Abaixo está uma lista de recursos comumente solicitados que atualmente não são suportados na WSL. Essas solicitações estão em nossa lista de pendências e estamos investigando maneiras de adicioná-las.
- Gerenciando atualizações e patches das distribuições e pacotes Linux usando ferramentas do Windows
- Ter o Windows Update também atualiza o conteúdo da distribuição WSL
- Controlando quais distribuições os usuários em sua empresa podem acessar
- Controlando o acesso root para usuários
Colabore connosco no GitHub
A fonte deste conteúdo pode ser encontrada no GitHub, onde também pode criar e rever issues e pull requests. Para mais informações, consulte o nosso guia para colaboradores.
Windows Subsystem for Linux